Задать вопрос
@suhuxa1
информационная-безопасность

Как хакеры ворую пароли из БД? При условии, что пароли шифруются кучей способов?

Вот пришла мне в голову мысль, я на своих сервисах использую ключ шифрования, который шифрует пароль, а после этот пароль шифруется еще и через md5. Видел сервисы, когда таких ключей аж 4. И каждый последовательно шифрует собой пароль, и так же в конце прогоняется через md5. Вопрос: как хакеры добывают уже расшифрованные пароли из БД у крупных сервисов? Ключи шифрования сбрутить нереал, в них, обычно, 60+ символов самых разных. Или они помимо БД воруют еще и конфиг?
  • Вопрос задан
  • 701 просмотр
1 комментарий
Подписаться 3 Оценить 1 комментарий
Пригласить эксперта
Ответы на вопрос 2
gobananas
@gobananas
finishhim.ru
Да, есть незахешированные пароли, но это редкость, хешированные узнают с помощью радужных таблиц, например. В этом случае большое значение приобретает соль. Если пароли не засоленные, то по хешам значения находятся мгновенно с помощью радужных таблиц. Но слабые соли тоже подобраны, а вот сильная соль это всегда хорошо.
Для общего развития: методы взлома MD5 https://xakep.ru/2013/10/13/md5-hack/
Ответ написан
Комментировать
Комментировать
Adamos
@Adamos
Обычно, если взломщик смог получить базу, скрипт хэширования он тоже может стянуть.
Имеем задачу: вот хэши паролей, вот алгоритм, которым они получены.
Берем словарь частых паролей, прогоняем его через этот алгоритм, смотрим совпадения.
В теории - имеем всех пользователей, кто использует слабые пароли.
На практике же индивидуальная соль для каждого пользователя и хэширование чем-нибудь потяжелее, чем md5, делает процесс подбора слишком долгим (до полной нерентабельности) в большинстве случаев.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Специалист по информационной безопасности
Данафлекс Казань
от 90 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Сделать верстку для натяжки на wordpress по макету в figma
26 апр. 2024, в 14:21
10000 руб./за проект
Node JS Бек енд разработчик для доработки CRM системы авто салона
26 апр. 2024, в 14:10
60000 руб./за проект
Требуется Pure PhP + Symfony (Обязательно) разработчик для CRM/ERP
26 апр. 2024, в 14:07
3000 руб./в час
Ещё заказы